gihyo.jpで新しい記事が公開されました。 なぜ簡単な対策で防げる脆弱性でもセキュリティ対策が確実に実施されないのか？それには理由があります。 その理由とはこの2つではないでしょうか。 セキュリティ対策とコーディングのベストプラクティスは相反することを理解していない セキュリティ対策の基本中の基本を理解していない 続きは http://gihyo.jp/…

PHP 5.3.9RC2とPHP5.4.0RC2がリリースされました。 ところで、公式WikiのリリーススケジュールによるとPHP 5.3.9のEOLはPHP 5.4.0のリリース後半年後に予定されています。 https://wiki.php.net/rfc/releaseprocess 1年後にはセキュリティパッチの提供も停止の予定です。私は期間が短すぎる…

HTTPセッションは通常クッキーを利用して行います。クッキーを利用したセッションの場合、お薦めする設定は以下の通りです。 ドメイン名は指定しない パスはルート(/)を指定する セッション管理用のクッキーはセッションクッキー（有効期間０）にする httponly属性を付ける 可能な場合は必ずsecure属性をつける 複数アプリケーションを利用する場合はsess…

PHP 5.4 Advent Calender 2011用のエントリです。（まだ空きがあるので是非どうぞ） このエントリを書いているのは11/23です。初めの方から重いネタだと後の方が苦労する（？）ので軽い話です。 (さらに…)

PHP 5.4からCLIのphpコマンドにビルトインWebサーバ機能が追加されています。 ツイッターでWebrick（RubyのビルトインというかRuby製のWebサーバ）＋素のRailsページはjRubyで44reqs/sec、cRubyで98reqs/secでした、とのツイートを見かけて、PHPのビルトインWebサーバはどの程度かな？と思って手元のマシン…

パッチのテストのお願いです。 PHPerの長年の悩みの種であるセッションアダプションを修正するパッチをPHPに取り込めそうです。PHPのsubversionレポジトリのtrunkまたはPHP 5.4で利用できます。テストが終わったらPHPのレポジトリにコミットする予定です。（テスト期間は2011/11/22まで） パッチ https://gist.githu…

私の会社で開発・販売しているPROVE for PHPを更新し、PDOオブジェクトに対応したPROVE for PHP 1.0.3の配布を開始しました。PDOオブジェクトに対応したので幅広いアプリケーションで利用できます。PROVEは非商用の個人利用の場合、無償で利用できます。問題などございましたらツイッターやメールなどでフィードバックを頂けると助かります。…

PHP5.4からtraitが利用できるようになる事をご存知の方も多いと思います。 traitはコードの水平再利用を可能にする仕様拡張です。Rubyのmixinのような機能と言えば分り易いかも知れません。 誰でもtraitを利用したくなるようなコードをinternals@php.netのMLで見かけたので紹介しよう、と思って書いたのですがコピペしたコードをしっ…

誕生日のメッセージを送ってくださった皆様ありがとうございました！ 今日は誕生日ということで多少は趣味のOSSに時間を割いてもバチは当たらないだろう、という事で簡単なPHPモジュールを書きました。PHP勉強会＠東京に参加してPHPerバイナリアンの方の発表に触発された事がこのモジュールを書いた動機です。BitモジュールはバイナリアンPHPerの為のモジュールで…

リバースプロキシの背後にあるPHP用に$_SERVER['REMOTE_ADDR']をX-Real-IPやX-Forwarded-Forヘッダに設定されたIPアドレスに書き換えるRealIPを書きました。 https://github.com/yohgaki/realip 少しGoogleで検索しても見つからなかったので作ったのですが、既にありそうな気がしま…